주제
보안 연구
13 3월 2025
AWS SNS 어뷰징: 데이터 유출 및 피싱
During a recent internal collaboration, we dug into publicly known SNS abuse attempts and our knowledge of the data source to develop detection capabilities.
문서화되지 않은 커널 데이터 구조를 사용하여 핫키 기반 키로거 탐지하기
이 아티클에서는 핫키 기반 키로거란 무엇이며 이를 어떻게 탐지하는지 알아봅니다. 구체적으로 이러한 키로거가 키 입력을 가로채는 방법을 설명한 다음, 커널 공간에서 문서화되지 않은 핫키 테이블을 활용하는 탐지 기법을 소개합니다.
Linux 탐지 엔지니어링 - Linux 지속성에 대한 대망의 피날레
이 시리즈를 마치면 일반적이고 희귀한 Linux 지속성 기법에 대한 탄탄한 지식을 갖추게 될 것입니다. 아울러 일반 및 고급 공격자 기능에 대한 탐지를 효과적으로 엔지니어링하는 방법도 이해할 수 있습니다.
위협 탐지를 위한 AWS S3 SSE-C 랜섬 에뮬레이션
이번 아티클에서는 위협 행위자가 랜섬/갈취 작업을 위해 Amazon S3의 고객 제공 키를 사용한 서버 측 암호화(SSE-C)를 활용하는 방법을 살펴봅니다.
Linux 탐지 엔지니어링 - 지속성 메커니즘의 정상에 다가가기
Building on foundational concepts and techniques explored in the previous publications, this post discusses some creative and/or complex persistence mechanisms.
未公開のカーネルデータ構造を使ったホットキー型キーロガーの検知
本記事では、ホットキー型キーロガーとは何かについてと、その検知方法について紹介します。具体的には、ホットキー型キーロガーがどのようにしてキー入力を盗み取るのかを解説した後、カーネルレベルに存在する未公開(Undocumented)のホットキーテーブルを活用した検知手法について説明します。
행동 규칙 보호를 위한 Elastic 바운티 프로그램 발표
Elastic은 보안 바운티 프로그램의 확장을 시작하여 연구원에게 Windows 엔드포인트부터 시작하여 회피 및 우회 기술에 대한 SIEM 및 EDR 규칙을 테스트할 수 있는 기회를 제공합니다. 이 이니셔티브는 보안 커뮤니티와의 협력을 강화하여 진화하는 위협에 대해 Elastic의 방어를 강력하게 유지하도록 합니다.
Detonating Beacons to Illuminate Detection Gaps
Learn how Elastic Security leveraged open-source BOFs to achieve detection engineering goals during our most recent ON week.
Exploring AWS STS AssumeRoot
Elastic의 SIEM과 CloudTrail 데이터를 사용해 권한 에스컬레이션과 계정 침해로부터 보호하기 위한 AWS STS AssumeRoot와 그 위험, 탐지 전략, 실제 시나리오에 대해 알아보세요.
Streamlining Security: Integrating Amazon Bedrock with Elastic
This article will guide you through the process of setting up the Amazon Bedrock integration and enabling Elastic's prebuilt detection rules to streamline your security operations.
CUPS 위기: 프린터에서 새어 나오는 보안 허점
Elastic Security Labs는 CUPS 프린팅 시스템의 취약점에 대한 탐지 및 완화 전략을 논의합니다. 이 취약점은 인증되지 않은 공격자가 IPP 및 mDNS를 통해 시스템을 악용하여 Linux, macOS, BSDs, ChromeOS, Solaris와 같은 UNIX 기반 시스템에서 원격 코드 실행(RCE)을 가능하게 합니다.
위기의 전조: AJCloud IoT 생태계를 들여다보다
Wi-Fi 카메라는 저렴한 가격과 편리함 때문에 인기가 많지만, 종종 보안 취약점이 있어 악용될 수 있습니다.
북한의 침입 코드: Python으로 무장한 네트워크 공격 사례
이 글은 북한이 Python과 정교하게 설계된 사회 공학을 전략적으로 활용하는 방법을 다룹니다. 이를 통해 그들이 효과적인 진화된 사이버 공격으로 고도로 안전한 네트워크를 어떻게 침투하는지를 조명합니다.
스마트 앱 컨트롤 분석
이 글에서는 Windows Smart App Control과 SmartScreen을 사례 연구로 삼아 평판 기반 시스템을 우회하는 방법을 연구하고 그러한 취약점을 보완하기 위한 탐지 방법을 시연합니다.
새로운 취약성 클래스를 소개합니다: 잘못된 파일 불변성
이 문서에서는 이전에 이름도 없던 Windows 취약성 클래스를 소개하여 가정이 얼마나 위험한지 보여주고 의도하지 않은 보안 결과를 설명합니다.
情報窃取から端末を守る
本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。
정보 도용으로부터 디바이스 보호
이 글에서는 Elastic Security에서 엔드포인트 보호를 담당하는 Elastic Defend(버전 8.12부터 시작)에 올해 추가된 키로거 및 키로깅 탐지 기능을 소개합니다.
500ms to midnight: XZ A.K.A. liblzma backdoor
Elastic Security Labs는 잠재적인 침해를 식별하기 위해 YARA 규칙, osquery, KQL 검색을 포함한 XZ 유틸리티 백도어에 대한 초기 분석을 공개합니다.
멀웨어 행동 트렌드 공개
10만 개 이상의 샘플에서 추출한 다양한 Windows 멀웨어 데이터 세트를 분석하여 가장 널리 퍼진 전술, 기술 및 절차에 대한 인사이트를 얻었습니다.
Elastic Security로 Okta 위협 모니터링하기
이 문서에서는 Okta 위협 탐지 연구소를 설립하는 방법을 안내하며, Okta와 같은 SaaS 플랫폼 보안의 중요성을 강조합니다. Elastic Stack으로 실험실 환경 만들기, SIEM 솔루션 통합, Okta에 대해 자세히 설명합니다.
허니팟의 랜섬웨어: 끈적끈적한 카나리아 파일로 키를 캡처하는 방법
이 문서에서는 Elastic Defend 랜섬웨어 보호 기능을 사용하여 랜섬웨어로부터 암호화 키를 캡처하는 프로세스에 대해 설명합니다.
Okta 이해를 위한 초보자 가이드
이 문서에서는 위협 연구 및 탐지 엔지니어링을 위한 견고한 기반을 마련하는 Okta의 아키텍처와 서비스에 대해 자세히 설명합니다. Okta 환경에서 위협 헌팅 및 탐지를 마스터하고자 하는 분들을 위한 필독서입니다.
두 배로 줄이기: 커널 ETW 콜 스택으로 인메모리 위협 탐지하기
Elastic Security 8.11에서는 인메모리 위협에 대한 효율성을 높이기 위해 커널 원격 분석 콜 스택 기반 탐지 기능을 추가했습니다.
사이버 데이터 분석용 Google 클라우드
이 문서에서는 데이터 추출 및 전처리부터 트렌드 분석 및 프레젠테이션에 이르기까지 Google Cloud를 사용하여 포괄적인 사이버 위협 데이터 분석을 수행하는 방법을 설명합니다. 이 강좌에서는 BigQuery, Python, Google 스프레드시트의 가치를 강조하며, 통찰력 있는 사이버 보안 분석을 위해 데이터를 정제하고 시각화하는 방법을 소개합니다.
내부로부터의 신호: eBPF가 신호와 상호 작용하는 방식
이 문서에서는 eBPF 프로그램에서 생성된 UNIX 신호의 몇 가지 의미에 대해 살펴봅니다.
ES|QL 쿼리 및 규칙 유효성 검사 간소화: GitHub CI와 통합하기
ES|QL은 Elastic의 새로운 파이핑 쿼리 언어입니다. 이 새로운 기능을 최대한 활용하여 Elastic Security Labs에서는 탐지 엔진에 대한 ES|QL 규칙의 유효성 검사를 실행하는 방법을 안내합니다.
블러드알케미 백도어 공개
혈액화학은 양성 바이너리를 인젝션 수단으로 활용하는 새로운 백도어이며, REF5961 인트루전 세트의 일부입니다.
REF5961 침입 세트 소개
REF5961 침입 세트는 아세안 회원을 대상으로 하는 세 가지 새로운 멀웨어군을 공개합니다. 이 침입 세트를 활용하는 위협 행위자는 계속해서 기능을 개발하고 발전시키고 있습니다.
PPLFault를 없애려는 Microsoft의 계획 내부
이 연구 간행물에서는 맬웨어가 맬웨어 방지 프로세스 및 기타 중요한 보안 기능을 변조하기 어렵게 만드는 Windows 코드 무결성 하위 시스템의 향후 개선 사항에 대해 알아보세요.
통화 스택으로 커튼 벗기기
이 문서에서는 규칙과 이벤트를 컨텍스트화하는 방법과 콜 스택을 활용하여 사용자 환경에서 발생하는 모든 알림을 더 잘 이해하는 방법을 보여드립니다.
Detonate 실행 방법 심층 분석
Detonate 시스템의 기술적 구현을 자세히 알아보세요. 여기에는 샌드박스 생성, 지원 기술, 원격 분석 수집, 그리고 시스템의 기능을 시험하는 방법이 포함됩니다.
판돈 높이기: 커널 호출 스택으로 인메모리 위협 탐지하기
저희는 공격자를 능가하는 혁신을 목표로 하며, 공격자의 최첨단 수법에 대한 보호 기능을 유지합니다. Elastic Security 8.8에서는 새로운 커널 호출 스택 기반 탐지 기능을 추가하여 인메모리 위협에 대한 향상된 효율성을 제공합니다.
Detonate를 활용한 자동화된 보호 테스트
프로세스를 자동화하고 대규모로 보호 기능을 테스트하기 위해 Detonate를 구축했습니다. 이 시스템은 보안 연구 엔지니어들이 Elastic Security 솔루션의 효율성을 자동으로 측정하는 데 사용됩니다.
ChatGPT를 통한 보안의 미래 모색
최근 OpenAI는 엔지니어가 앱과 제품에 ChatGPT 및 Whisper 모델을 통합할 수 있는 API를 발표했습니다. 한동안 엔지니어는 이전 모델의 경우 REST API 호출을 사용하고, 그렇지 않은 경우 웹사이트를 통해 ChatGPT 인터페이스를 사용할 수 있었습니다.
Elastic 글로벌 위협 보고서 멀티파트 시리즈 개요
Elastic 보안 연구실 팀은 매달 Elastic 글로벌 위협 보고서에서 다른 트렌드나 상관관계를 분석합니다. 이 게시물은 이러한 개별 게시물의 개요를 제공합니다.
효과적인 부모 관리 - LRPC 기반 부모 PID 스푸핑 탐지
이 연구에서는 프로세스 생성을 사례 연구로 삼아 지금까지의 회피 탐지 경쟁을 개괄하고, 현재 일부 탐지 접근 방식의 약점을 설명한 다음, LRPC 기반 회피에 대한 일반적인 접근 방식을 모색해 보려고 합니다.
실행 및 방어 회피를 위한 의심스러운 Windows 라이브러리 찾기
노이즈가 많은 프로세스 이벤트 데이터에서 알려진 멀웨어와 알려지지 않은 멀웨어의 존재를 파악하는 한 가지 방법인 DLL 로드 이벤트를 통해 위협을 발견하는 방법에 대해 자세히 알아보세요.
재미와 수익을 위한 안티멀웨어 제품 샌드박싱
이 문서에서는 공격자가 다양한 형태의 공격으로부터 맬웨어 방지 제품을 보호하는 Windows 보안 메커니즘을 우회할 수 있는 결함을 설명합니다.
네트워크 동적 구성 추출
Elastic Security Labs에서 NETWIRE 트로이 목마에 대해 논의하고 구성 파일을 동적으로 추출하는 도구를 출시합니다.
그림자 속 진실 찾기
하드웨어 스택 보호가 의도한 익스플로잇 완화 기능 외에 제공하는 세 가지 이점을 살펴보고 몇 가지 제한 사항을 설명하겠습니다.
취약점 요약: 폴리나, CVE-2022-30190
Elastic은 Follina 취약점의 사용을 식별하기 위해 새로운 맬웨어 시그니처를 배포하고 있습니다. 이 게시물에서 자세히 알아보세요.
Get-InjectedThreadEx - 스레드 생성 트램폴린 감지
이 블로그에서는 네 가지 프로세스 트램폴린 클래스 각각을 탐지하고 업데이트된 PowerShell 탐지 스크립트인 Get-InjectedThreadEx를 릴리스하는 방법을 보여드리겠습니다.
EMOTET 동적 구성 추출
Elastic Security Labs에서 EMOTET 트로이 목마에 대해 논의하고 코드 에뮬레이터를 사용하여 구성 파일을 동적으로 추출하는 도구를 출시합니다.
Log4Shell 취약점 분석 & CVE-2021-45046
이 게시물에서는 사용자가 CVE-2021-44228, 또는 Log4Shell로부터 자신을 지속적으로 보호하기 위해 Elastic Security 팀이 취하고 있는 다음 단계에 대해 설명합니다.
TTD 에코시스템에 대해 자세히 알아보기
이 글은 최근 독립적인 연구 기간 동안 자세히 살펴본 Microsoft에서 개발한 시간 여행 디버깅(TTD) 기술에 초점을 맞춘 시리즈 중 첫 번째 글입니다.
KNOTWEED 평가 요약
KNOTWEED는 Adobe Reader 및 Windows 운영 체제에 대한 0일 익스플로잇을 사용하여 Subzero 스파이웨어를 배포합니다. 초기 액세스 권한이 확보되면 Subzero의 여러 섹션을 사용하여 지속성을 유지하고 호스트에서 작업을 수행합니다.
Elastic Security를 통한 CVE-2021-44228 (Log4j2) 익스플로잇 탐지
이 블로그 게시물은 CVE-2021-44228 에 대한 요약과 함께 Elastic Security 사용자가 자신의 환경에서 이 취약점을 적극적으로 악용하는 것을 발견할 수 있는 탐지 기능을 제공합니다. 자세한 내용이 파악되는 대로 이 게시물에 추가 업데이트가 제공될 예정입니다.
SIGRed 취약점에 대한 탐지 규칙
SIGRed 취약점은 Windows DNS 서버 서비스(Windows 2003 이상)를 활용하는 모든 시스템에 영향을 미칩니다. 사용자 환경을 방어하려면 Elastic Security와 같은 기술을 사용하여 이 블로그 게시물에 포함된 탐지 로직을 구현하는 것이 좋습니다.
Spring4Shell 취약점(CVE-2022-22965)에 대한 Elastic의 대응
최근에 공개된 원격 코드 실행(RCE) 취약점(일명 "Spring4Shell")인 CVE-2022-22965 에 대한 임원급 세부 정보를 제공하세요.
Elastic으로 더티 파이프 감지 및 대응하기
Elastic Security는 더티 파이프 익스플로잇에 대한 탐지 로직을 공개합니다.
Elastic에서 트랜스포머 최대한 활용하기
이 블로그에서는 마스크드 언어 모델링(MLM) 작업용 트랜스포머 모델을 분류 작업에 적합하도록 미세 조정한 방법에 대해 간략하게 설명합니다.
인메모리 .NET 공격에 대한 헌팅
더비콘 발표의 후속으로, 이 게시물에서는 탐지를 회피하기 위해 .NET 기반 인메모리 기술을 사용하는 공격자들의 새로운 동향에 대해 살펴봅니다.
메모리에서 사냥하기
위협 헌터는 공격의 모든 단계에서 적의 활동을 정확히 찾아내기 위해 방대한 양의 다양한 데이터 소스를 선별하는 어려운 작업을 담당합니다.
Mozi 봇넷에서 위협 데이터 수집 및 운영하기
모지 봇넷은 보안이 취약한 네트워킹 디바이스를 대상으로 하는 지속적인 멀웨어 캠페인입니다. 이 게시물에서는 Mozi 봇넷의 위협 데이터를 수집, 분석, 운영하는 분석가의 여정을 소개합니다.
활발하게 악용되고 있는 ProxyShell 취약점 탐지 및 대응
지난 주에 Elastic Security는 ProxyShell과 관련된 Microsoft Exchange 취약점이 악용되는 것을 관찰했습니다. 게시물을 검토하여 이 활동에 대한 새로 공개된 세부 정보를 확인하세요.
님버스폰: 권한 에스컬레이션을 통해 취약점을 악용하여 Linux를 익스플로잇하는 방법
Microsoft 365 Defender 팀에서 확인된 몇 가지 취약점을 자세히 설명하는 게시물을 발표했습니다. 이러한 취약점을 통해 공격 그룹은 Linux 시스템에 대한 권한을 상승시켜 페이로드, 랜섬웨어 또는 기타 공격을 배포할 수 있습니다.
Dorothy와 Elastic Security로 Okta 통합 가시성 및 탐지 테스트
Dorothy는 보안 팀이 Okta 환경의 통합 가시성과 탐지 기능을 테스트할 수 있는 도구입니다. IAM 솔루션은 빈번하게 공격 대상이 되지만 모니터링은 제대로 되고 있지 않습니다. 이 게시물에서는 Dorothy를 시작하는 방법을 알아봅니다.
공격적인 툴 수용: EQL을 사용하여 코아딕에 대한 탐지 구축하기
이벤트 쿼리 언어(EQL)를 사용하여 코아딕과 같은 익스플로잇 후 프레임워크에 대한 행동 탐지를 구축하는 새로운 방법을 찾아보세요.
실용적인 보안 엔지니어링: 상태 저장 탐지
규칙과 엔지니어링 프로세스에서 상태 저장 탐지를 공식화하면 미래와 과거의 일치에 대한 탐지 범위를 늘릴 수 있습니다. 이 블로그 게시물에서 상태 저장 탐지가 구현해야 하는 중요한 개념인 이유를 알아보세요.